Monitorare i log e le metriche di Firewall di Azure

È possibile monitorare Firewall di Azure con i log del firewall. È possibile usare anche i log attività per controllare le operazioni eseguite sulle risorse di Firewall di Azure. Usando le metriche, è possibile visualizzare i contatori delle prestazioni nel portale.

Alcuni di questi log sono accessibili tramite il portale. I log possono essere inviati Monitoraggio di Azurelog, Archiviazione e Hub eventi e analizzati nei log di Monitoraggio di Azure o da strumenti diversi, ad esempio Excel e Power BI.

Nota

Questo articolo è stato aggiornato di recente in modo da usare il termine log di Monitoraggio di Azure anziché Log Analytics. I dati di log vengono comunque archiviati in un'area di lavoro Log Analytics e vengano ancora raccolti e analizzati dallo stesso servizio Log Analytics. Si sta procedendo a un aggiornamento della terminologia per riflettere meglio il ruolo dei log in Monitoraggio di Azure. Per informazioni dettagliate, vedere Modifiche della terminologia di Monitoraggio di Azure.

Nota

Questo articolo usa il modulo Azure Az PowerShell, che è il modulo di PowerShell consigliato per l'interazione con Azure. Per iniziare a usare il modulo Az PowerShell, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Prerequisiti

Prima di iniziare, è consigliabile leggere Firewall di Azure log e metriche per una panoramica dei log di diagnostica e delle metriche disponibili per Firewall di Azure.

Abilitare la registrazione diagnostica tramite il portale di Azure

Dopo aver completato questa procedura per abilitare la registrazione diagnostica possono essere necessari alcuni minuti per la visualizzazione dei dati nei log. Se non viene visualizzato subito alcun risultato, controllare dopo qualche minuto.

  1. Nel portale di Azure aprire il gruppo di risorse firewall e selezionare il firewall.

  2. Selezionare Impostazioni di diagnostica in Monitoraggio.

    Per Firewall di Azure sono disponibili quattro log specifici del servizio:

    • AzureFirewallApplicationRule
    • AzureFirewallNetworkRule
    • AzureFirewallDnsProxy
  3. Selezionare Aggiungi impostazione di diagnostica. La pagina Impostazioni di diagnostica include le impostazioni per i log di diagnostica.

  4. In questo esempio i log di Monitoraggio di Azure archiviano i log, quindi digitare Firewall log analytics come nome.

  5. In Log selezionare AzureFirewallApplicationRule, AzureFirewallNetworkRule e AzureFirewallDnsProxy per raccogliere i log.

  6. Selezionare Invia a Log Analytics per configurare l'area di lavoro.

  7. Selezionare la propria sottoscrizione.

  8. Selezionare Salva.

Abilitare la registrazione diagnostica tramite PowerShell

Registrazione attività viene abilitata automaticamente per tutte le risorse di Resource Manager. È necessario abilitare la registrazione diagnostica per iniziare a raccogliere i dati disponibili in tali log.

Per abilitare la registrazione diagnostica con PowerShell, seguire questa procedura:

  1. Prendere nota dell'ID risorsa dell'area di lavoro Log Analytics, in cui sono archiviati i dati di log. Questo valore ha il formato seguente:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    È possibile usare qualsiasi area di lavoro nella sottoscrizione. Per trovare queste informazioni è possibile usare il portale di Azure. Le informazioni si trovano nella pagina Proprietà risorsa.

  2. Prendere nota dell'ID risorsa per il firewall. Questo valore ha il formato seguente:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    Per trovare queste informazioni è possibile usare il portale.

  3. Abilitare la registrazione diagnostica per tutti i log e le metriche usando il cmdlet di PowerShell seguente:

       $diagSettings = @{
       Name = 'toLogAnalytics'
       ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       Enabled = $true
       }
    Set-AzDiagnosticSetting  @diagSettings 
    

Abilitare la registrazione diagnostica tramite l'interfaccia della riga di comando di Azure

Registrazione attività viene abilitata automaticamente per tutte le risorse di Resource Manager. È necessario abilitare la registrazione diagnostica per iniziare a raccogliere i dati disponibili in tali log.

Per abilitare la registrazione diagnostica con l'interfaccia della riga di comando di Azure, seguire questa procedura:

  1. Prendere nota dell'ID risorsa dell'area di lavoro Log Analytics, in cui sono archiviati i dati di log. Questo valore ha il formato seguente:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>

    È possibile usare qualsiasi area di lavoro nella sottoscrizione. Per trovare queste informazioni è possibile usare il portale di Azure. Le informazioni si trovano nella pagina Proprietà risorsa.

  2. Prendere nota dell'ID risorsa per il firewall. Questo valore ha il formato seguente:

    /subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>

    Per trovare queste informazioni è possibile usare il portale.

  3. Abilitare la registrazione diagnostica per tutti i log e le metriche usando il comando seguente dell'interfaccia della riga di comando di Azure:

       az monitor diagnostic-settings create -n 'toLogAnalytics'
       --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>'
       --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>'
       --logs '[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]' 
       --metrics '[{\"category\": \"AllMetrics\",\"enabled\": true}]'
    

Visualizzare e analizzare Log attività

È possibile visualizzare e analizzare i dati del log attività usando uno dei metodi seguenti:

  • Strumenti di Azure: recuperare le informazioni dal log attività con Azure PowerShell, l'interfaccia della riga di comando (CLI) di Azure, l'API REST di Azure o il portale di Azure. Le istruzioni dettagliate di ciascun metodo sono fornite nell'articolo Operazioni attività con Resource Manager.

  • Power BI: se non si ha già un account Power BI, è possibile provarlo gratuitamente. Usando il pacchetto di contenuto dei log attività di Azure per Power BI è possibile analizzare i dati con i dashboard preconfigurati che possono anche essere personalizzati.

  • Microsoft Sentinel: è possibile connettere Firewall di Azure log a Microsoft Sentinel, consentendo di visualizzare i dati di log nelle cartelle di lavoro, usarli per creare avvisi personalizzati e incorporarli per migliorare l'analisi. Il Firewall di Azure connettore dati in Microsoft Sentinel è attualmente in anteprima pubblica. Per altre informazioni, vedere Connessione dati da Firewall di Azure.

    Per una panoramica, vedere il video seguente di Mohit Kumar:

Visualizzare e analizzare i log delle regole di rete e di applicazione

Firewall di Azure cartella di lavoro offre un canvas flessibile per l'analisi Firewall di Azure dati. È possibile usarlo per creare report visivi all'interno dell'portale di Azure. È possibile sfruttare più firewall distribuiti in Azure e combinarli in esperienze interattive unificate.

È anche possibile connettersi all'account di archiviazione e recuperare le voci del log JSON per i log di accesso e delle prestazioni. Dopo avere scaricato i file JSON, è possibile convertirli in CSV e visualizzarli in Excel, PowerBI o un altro strumento di visualizzazione dei dati.

Suggerimento

Se si ha familiarità con Visual Studio e i concetti di base della modifica dei valori di costanti e variabili in C#, è possibile usare i convertitori di log disponibili in GitHub.

Visualizzare le metriche

Passare a un Firewall di Azure. In Monitoraggio selezionare Metrica. Per visualizzare i valori disponibili, selezionare l'elenco a discesa METRICA.

Passaggi successivi

Dopo aver configurato il firewall per raccogliere i log, è possibile esplorare i log di Monitoraggio di Azure per visualizzare i dati.